پس از تعیین تعداد دفعات شکار و همچنین تعیین هدف شکار، می توان فرآیند شکار را آغاز کرد. در حالی که مدل زمان بندی تشریح شده در بخش قبل می تواند به تعیین تعداد دفعات شکار در یک بازه زمانی کمک کند، سوال اینجاست که فرآیند کاربردی برای انجام فعالیت شکار چیست؟
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.
مدل MITRE-ATT&CK – معرفی و موارد کاربرد✍
مدل MITRE ATT&CK – معرفی و موارد کاربرد
مدل یا به عبارتی چارچوب ATT&CK که توسط شرکت MITRE توسعه یافته است، طبقهبندی هدفمند تاکتیکها و تکنیکهای مورد استفاده توسط مهاجمین است که روی شبکههای سازمانی مشاهده و کشف شده است. بهبیان دیگر، شرکت MITRE، جهت شناسایی تهدیدات، به خصوص تهدیدات پیشرفته و چندگامی مدلی را عرضه کرده است که گامهای مورد نظر مهاجمان و روش های کلی پیشگیری و تشخیص آنها را مدون و مستند کرده است. به عنوان نمونه در مدل ATT&CK (مخفف Attack Tactics Techniques and Common Knowledge) با فرض اینکه مهاجم سیستمی را آلوده کرده باشد، گامهای محتمل بعدی (نظیر Lateral Movement و …) و روشهای مورد استفاده برای تحقق این گامها، مستند شده است. مدل مذکور، یک مدل جزییتر از مدلهای سطح بالاتری نظیر Kill Chain است.
مدل سطح بالا و کلی Kill Chain جهت شناسایی هرچه بهتر تهدیدات پیشرفته و چندگامی، گام های احتمالی نفوذ یک مهاجم را به شش دسته تقسیم کرده است؛ از آن جایی که گام های مذکور بسیار کلی است و تا سطح عملیاتی فاصله زیادی دارد، مدل ATT&CK با جزییات بیشتر و دقیق تر به عنوان یک مدل سطح میانی در شناسایی تهدیدات و رفتارهای مهاجمان ایفای نقش می کند. در واقع، ATT&CK، مدل جزیی تری از سه گام انتهایی مدل Kill Chain است.
به صورت کلی می توان گفت مدل ATT@CK کاربردهای زیر را دارد
شبیهسازی رفتار مهاجمان
میتوان از مدل مذکور جهت ارزیابی امنیت داراییها و فناوریها بهره برد. این فرآیند (ارزیابی امنیتی) با بهکارگیری اطلاعات تهدید سایبری درباره مهاجمان و نحوه عملکردشان که در چارچوب MITRE گنجانده شده است قابل انجام است. به بیان دیگر، تمرکز این فرآیند، بر روی آزمودن توانایی یک سازمان در تشخیص یا کاهش سطح تهدید ناشی از فعالیت مهاجمان است. می توان به راحتی سناریوهای شبیه سازی رفتار مهاجمان را از روی مدل MITRE استخراج کرد.
ارزیابی گپ (Gap Assessment)
فرآیند Gap Assessment به یک سازمان این امکان را می دهد تا مشخص کند کدام یک از بخش های دفاعی یک سازمان دچار نقصان و کمبود است. ATT&CK می تواند در این حوزه نیز نقش خود را ایفا کند و ابزارها و راهکارهای تشخیصی و دفاعی شبکه را ارزیابی کند.
ارزیابی سطح بلوغ مرکز عملیات امنیت
مرکز عملیات امنیت مولفه کلیدی سازمان های متوسط تا بزرگ به شمار می آیند که به صورت مداوم تهدیدات احتمالی در شبکه را رصد می کند. درک سطح بلوغ یک مرکز عملیات امنیت در اندازه گیری میزان کارآمدی آن موثر است. چارچوب ATT&CK میتواند به عنوان معیار و سنجش میزان کارآمدی مرکز عملیات امنیت ایفای نقش کند.
غنیسازی اطلاعات تهدید
قالب ساخت یافتهی ATT&CK میتواند دادههای بیشتری را به اطلاعات تهدید بیافزاید. بهبیان دقیقتر، اطلاعات و گزارشات تهدیدات و رخدادهای سایبری، میتواند با استفاده از مدل مذکور دستهبندی شود و از این طریق دید بیشتری را نسبت به وضعیت تهدید، تهدیدات احتمالی و نحوه تشخیص تهدیدات ارایه کند.
کاربردهای مذکور تنها بخشی از کاربردهای ATT&CK است و با فراگیری هرچه بیشتر این مدل، کاربردهای بیشتری نیز از آن کشف خواهد شد.
http://www.hypersec.ir/?p=592🌎
@hypersec
t.me/hypersec
مدل MITRE ATT&CK – معرفی و موارد کاربرد
مدل یا به عبارتی چارچوب ATT&CK که توسط شرکت MITRE توسعه یافته است، طبقهبندی هدفمند تاکتیکها و تکنیکهای مورد استفاده توسط مهاجمین است که روی شبکههای سازمانی مشاهده و کشف شده است. بهبیان دیگر، شرکت MITRE، جهت شناسایی تهدیدات، به خصوص تهدیدات پیشرفته و چندگامی مدلی را عرضه کرده است که گامهای مورد نظر مهاجمان و روش های کلی پیشگیری و تشخیص آنها را مدون و مستند کرده است. به عنوان نمونه در مدل ATT&CK (مخفف Attack Tactics Techniques and Common Knowledge) با فرض اینکه مهاجم سیستمی را آلوده کرده باشد، گامهای محتمل بعدی (نظیر Lateral Movement و …) و روشهای مورد استفاده برای تحقق این گامها، مستند شده است. مدل مذکور، یک مدل جزییتر از مدلهای سطح بالاتری نظیر Kill Chain است.
مدل سطح بالا و کلی Kill Chain جهت شناسایی هرچه بهتر تهدیدات پیشرفته و چندگامی، گام های احتمالی نفوذ یک مهاجم را به شش دسته تقسیم کرده است؛ از آن جایی که گام های مذکور بسیار کلی است و تا سطح عملیاتی فاصله زیادی دارد، مدل ATT&CK با جزییات بیشتر و دقیق تر به عنوان یک مدل سطح میانی در شناسایی تهدیدات و رفتارهای مهاجمان ایفای نقش می کند. در واقع، ATT&CK، مدل جزیی تری از سه گام انتهایی مدل Kill Chain است.
به صورت کلی می توان گفت مدل ATT@CK کاربردهای زیر را دارد
شبیهسازی رفتار مهاجمان
میتوان از مدل مذکور جهت ارزیابی امنیت داراییها و فناوریها بهره برد. این فرآیند (ارزیابی امنیتی) با بهکارگیری اطلاعات تهدید سایبری درباره مهاجمان و نحوه عملکردشان که در چارچوب MITRE گنجانده شده است قابل انجام است. به بیان دیگر، تمرکز این فرآیند، بر روی آزمودن توانایی یک سازمان در تشخیص یا کاهش سطح تهدید ناشی از فعالیت مهاجمان است. می توان به راحتی سناریوهای شبیه سازی رفتار مهاجمان را از روی مدل MITRE استخراج کرد.
ارزیابی گپ (Gap Assessment)
فرآیند Gap Assessment به یک سازمان این امکان را می دهد تا مشخص کند کدام یک از بخش های دفاعی یک سازمان دچار نقصان و کمبود است. ATT&CK می تواند در این حوزه نیز نقش خود را ایفا کند و ابزارها و راهکارهای تشخیصی و دفاعی شبکه را ارزیابی کند.
ارزیابی سطح بلوغ مرکز عملیات امنیت
مرکز عملیات امنیت مولفه کلیدی سازمان های متوسط تا بزرگ به شمار می آیند که به صورت مداوم تهدیدات احتمالی در شبکه را رصد می کند. درک سطح بلوغ یک مرکز عملیات امنیت در اندازه گیری میزان کارآمدی آن موثر است. چارچوب ATT&CK میتواند به عنوان معیار و سنجش میزان کارآمدی مرکز عملیات امنیت ایفای نقش کند.
غنیسازی اطلاعات تهدید
قالب ساخت یافتهی ATT&CK میتواند دادههای بیشتری را به اطلاعات تهدید بیافزاید. بهبیان دقیقتر، اطلاعات و گزارشات تهدیدات و رخدادهای سایبری، میتواند با استفاده از مدل مذکور دستهبندی شود و از این طریق دید بیشتری را نسبت به وضعیت تهدید، تهدیدات احتمالی و نحوه تشخیص تهدیدات ارایه کند.
کاربردهای مذکور تنها بخشی از کاربردهای ATT&CK است و با فراگیری هرچه بیشتر این مدل، کاربردهای بیشتری نیز از آن کشف خواهد شد.
http://www.hypersec.ir/?p=592🌎
@hypersec
t.me/hypersec
👍1
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
روشهای تحلیل داده با رویکرد کشف تهدیدات (Threat Hunting)✍
روشها و تکنیکهای مختلفی برای تحلیل داده و به خصوص لاگ با رویکرد کشف یا اصطلاحا شکار تهدید (Threat Hunting) وجود دارد که در این پست به برخی از شناخته شدهترین آنها پرداخته میشود. این روشها به چهار دسته کلی زیر تقسیم شدهاند.
روش اول – جستجوی ساده (Searching)
جستجو یا Searching به عنوان سادهترین روش برای شکار تهدیدات، به فرآیند جستجوی نشانه های مشخص در دادهها اطلاق می شود؛ این فرآیند می تواند از طریق ابزارهای مختلفی نظیر Splunk، ElasticSearch و … انجام شود. برای رسیدن به نتیجه مطلوب و اجتناب از نتایج غیرمربوط از فرآیند جستجو، نیاز به تعیین صحیح عبارت و شرایط جستجو است. دو فاکتور اساسی که در انجام یک جستجوی مطلوب باید در نظر داشت عبارتست از:
اجتناب از جستجوی نشانه های خیلی کلی یا گسترده
به عنوان نمونه، در صورتی که در بین داده های ورودی نظیر لاگ ها تمام لاگ های مربوط به پورت ۸۰ جستجو شود، این جستجو بسیار زمان بر و دارای نتایج بی ربطی خواهد بود.
اجتناب از جستجوی نشانه های خیلی خاص
به عنوان نمونه در صورتی که در بین داده های ورودی تنها لاگ های مربوط به پورت ۸۰ که از آدرس مبدا x.x.x.x و در زمان ۸ تا ۹ صبح درخواست شود، آنگاه ممکن است بسیاری از نتایج مفید از دست برود و تحلیلگر از آن غافل بماند.
روش دوم – خوشهبندی (Clustering)
خوشه بندی یک روش آماری است که اغلب با تکنیکهای یادگیری ماشین یا Machine Learning انجام می شود؛ خوشه بندی به فرآیند تفکیک و دسته بندی نقاط داده مشابه بر اساس خصیصه های مشخص از یک مجموعه داده بزرگتر اطلاق می شود. کاشفان یا شکارچیان تهدید از روش خوشه بندی برای مقاصد مختلفی از جمله تشخیص داده های ناهمگون و غیرمعمول استفاده می کنند. این روش زمانی مؤثر است که با حجم عظیمی از داده ها روبرو هستیم که هیچ گونه خصیصه رفتاری مشخصی را از خود نشان نمی دهند.
روش سوم – گروهبندی (Grouping)
گروه بندی به معنای دسته بندی داده ها بر اساس معیارهای رفتاری مشخص است. تفاوت عمده بین گروه بندی و خوشه بندی این است که در گروه بندی، ورودی مجموعه ای از اقلام مشخص است که هریک از آنها در فرآیند تحلیل و تشخیص تهدید می تواند مورد نظر قرار گیرد اما در خوشه بندی چنین اقلام مشخصی وجود ندارد. گروه های حاصل از خروجی فرآیند گروه بندی می تواند نشان دهنده یک ابزار یا تکنیک، روش و رویه ای باشد که مهاجمان استفاده کرده اند. یک جنبه بسیار مهم و حیاتی در فرآیند گروه بندی، تعیین شرایط مشخص برای گروه بندی اقلام و آیتم ها است؛ به عنوان نمونه رویدادهایی که در طی یک پنجره زمانی خاص اتفاق افتاده اند می توانند به عنوان یک گروه تفکیک شوند. این روش زمانی مفید است که شما درحال بررسی و تحلیل نمونه های مرتبط به هم از یک رویداد هستید؛ به عنوان مثال تفیک لاگ ها و داده هایی که مربوط به فرآیند شناسایی هدف هستند و در یک قاب زمانی خاص تولید شده اند.
روش چهارم – Stack Counting
روش Stack Counting که گاها Stacking نیز نامیده می شود یکی از رایج ترین روش هایی است که توسط تحلیلگران و شکارچیان تهدید استفاده می شود. روش Stacking به شمارش و فهرست کردن مقادیر از یک نوع خصیصه و تحلیل مقادیر پرت و ناهمگون آن نتایج اطلاق می شود. به بیان ساده تر، در روش Stacking داده ها بر اساس خصیصه های مشخص مانند آدرس IP، پورت و … مرتب می شوند و هرگونه ناهمگونی در این ترتیب تحلیل می شود. هنگامی که با مجموعه داده های بزرگ سروکار داریم این روش کارآمدی چندانی ندارد اما در مواقعی که داده های فیلترشده و مرتب با حجم نسبتا کم در اختیار داریم این روش کارآمد خواهد بود. در این روش می توان از سازوکار های به اشتراک گذاری اطلاعات تهدید یا Threat Intelligence و خروجی آنها و در کل از نشانه های شناخته شده تهدیدات بهره برد.
http://www.hypersec.ir/?p=196🌎
@hypersec
t.me/hypersec
روشها و تکنیکهای مختلفی برای تحلیل داده و به خصوص لاگ با رویکرد کشف یا اصطلاحا شکار تهدید (Threat Hunting) وجود دارد که در این پست به برخی از شناخته شدهترین آنها پرداخته میشود. این روشها به چهار دسته کلی زیر تقسیم شدهاند.
روش اول – جستجوی ساده (Searching)
جستجو یا Searching به عنوان سادهترین روش برای شکار تهدیدات، به فرآیند جستجوی نشانه های مشخص در دادهها اطلاق می شود؛ این فرآیند می تواند از طریق ابزارهای مختلفی نظیر Splunk، ElasticSearch و … انجام شود. برای رسیدن به نتیجه مطلوب و اجتناب از نتایج غیرمربوط از فرآیند جستجو، نیاز به تعیین صحیح عبارت و شرایط جستجو است. دو فاکتور اساسی که در انجام یک جستجوی مطلوب باید در نظر داشت عبارتست از:
اجتناب از جستجوی نشانه های خیلی کلی یا گسترده
به عنوان نمونه، در صورتی که در بین داده های ورودی نظیر لاگ ها تمام لاگ های مربوط به پورت ۸۰ جستجو شود، این جستجو بسیار زمان بر و دارای نتایج بی ربطی خواهد بود.
اجتناب از جستجوی نشانه های خیلی خاص
به عنوان نمونه در صورتی که در بین داده های ورودی تنها لاگ های مربوط به پورت ۸۰ که از آدرس مبدا x.x.x.x و در زمان ۸ تا ۹ صبح درخواست شود، آنگاه ممکن است بسیاری از نتایج مفید از دست برود و تحلیلگر از آن غافل بماند.
روش دوم – خوشهبندی (Clustering)
خوشه بندی یک روش آماری است که اغلب با تکنیکهای یادگیری ماشین یا Machine Learning انجام می شود؛ خوشه بندی به فرآیند تفکیک و دسته بندی نقاط داده مشابه بر اساس خصیصه های مشخص از یک مجموعه داده بزرگتر اطلاق می شود. کاشفان یا شکارچیان تهدید از روش خوشه بندی برای مقاصد مختلفی از جمله تشخیص داده های ناهمگون و غیرمعمول استفاده می کنند. این روش زمانی مؤثر است که با حجم عظیمی از داده ها روبرو هستیم که هیچ گونه خصیصه رفتاری مشخصی را از خود نشان نمی دهند.
روش سوم – گروهبندی (Grouping)
گروه بندی به معنای دسته بندی داده ها بر اساس معیارهای رفتاری مشخص است. تفاوت عمده بین گروه بندی و خوشه بندی این است که در گروه بندی، ورودی مجموعه ای از اقلام مشخص است که هریک از آنها در فرآیند تحلیل و تشخیص تهدید می تواند مورد نظر قرار گیرد اما در خوشه بندی چنین اقلام مشخصی وجود ندارد. گروه های حاصل از خروجی فرآیند گروه بندی می تواند نشان دهنده یک ابزار یا تکنیک، روش و رویه ای باشد که مهاجمان استفاده کرده اند. یک جنبه بسیار مهم و حیاتی در فرآیند گروه بندی، تعیین شرایط مشخص برای گروه بندی اقلام و آیتم ها است؛ به عنوان نمونه رویدادهایی که در طی یک پنجره زمانی خاص اتفاق افتاده اند می توانند به عنوان یک گروه تفکیک شوند. این روش زمانی مفید است که شما درحال بررسی و تحلیل نمونه های مرتبط به هم از یک رویداد هستید؛ به عنوان مثال تفیک لاگ ها و داده هایی که مربوط به فرآیند شناسایی هدف هستند و در یک قاب زمانی خاص تولید شده اند.
روش چهارم – Stack Counting
روش Stack Counting که گاها Stacking نیز نامیده می شود یکی از رایج ترین روش هایی است که توسط تحلیلگران و شکارچیان تهدید استفاده می شود. روش Stacking به شمارش و فهرست کردن مقادیر از یک نوع خصیصه و تحلیل مقادیر پرت و ناهمگون آن نتایج اطلاق می شود. به بیان ساده تر، در روش Stacking داده ها بر اساس خصیصه های مشخص مانند آدرس IP، پورت و … مرتب می شوند و هرگونه ناهمگونی در این ترتیب تحلیل می شود. هنگامی که با مجموعه داده های بزرگ سروکار داریم این روش کارآمدی چندانی ندارد اما در مواقعی که داده های فیلترشده و مرتب با حجم نسبتا کم در اختیار داریم این روش کارآمد خواهد بود. در این روش می توان از سازوکار های به اشتراک گذاری اطلاعات تهدید یا Threat Intelligence و خروجی آنها و در کل از نشانه های شناخته شده تهدیدات بهره برد.
http://www.hypersec.ir/?p=196🌎
@hypersec
t.me/hypersec
راهکارهای Threat Intelligence باید چه ویژگی هایی داشته باشند:
یک راهکار Threat Intelligence کار آمد، داده های مرتبط با تهدیدات سایبری را از منابع مختلف جمع آوری کرده، تحلیل و پایش می کند و در نهایت آن ها را تفسیر و به کاگیری می کند.
راهکار Threat Intelligence به پوشش گپ های موجود در راهکارهای دفاعی یک سازمان کمک زیادی می کند. برخی از شرکت ها و سازمان های بزرگ و متوسط برای راه اندازی Threat Intelligence از ابزارهای متن باز استفاده می کنند. برخی دیگر نیز ترجیح می دهند ابزارهای تجاری موجود در این حوزه را خریداری کنند. فارغ از نوع راهکار مورد استفاده در سازمان ها، ویژگی های اصلی که یک راهکار کارآمد TI باید داشته باشد عبارتند از:
• راهکار مورد نظر برای ییاده سازی در سازمان باید نیاز به حداقل منابع آن سازمان داشته باشد.
• راهکار موردنظر قابلیت یکپارچه سازی با ابزارها و راهکارهای دفاعی موجود در سازمان را داشته باشد.
• در راهکار مورد نظر باید عمده فرآیند های مربوطه نظیر جمع آوری اطلاعات از فیدهای مختلف، تحلیل و پایش و تفسیر و به کارگیری حتی الامکان خودکار انجام شود.
• در راهکار مورد نظر باید مکانیزم هایی برای بررسی صحت و درصد اطمینان اطلاعات تهدید وجود داشته باشد (به عنوان نمونه مکانیزم رتبه بندی یا مواردی مشابه)
یک راهکار Threat Intelligence کار آمد، داده های مرتبط با تهدیدات سایبری را از منابع مختلف جمع آوری کرده، تحلیل و پایش می کند و در نهایت آن ها را تفسیر و به کاگیری می کند.
راهکار Threat Intelligence به پوشش گپ های موجود در راهکارهای دفاعی یک سازمان کمک زیادی می کند. برخی از شرکت ها و سازمان های بزرگ و متوسط برای راه اندازی Threat Intelligence از ابزارهای متن باز استفاده می کنند. برخی دیگر نیز ترجیح می دهند ابزارهای تجاری موجود در این حوزه را خریداری کنند. فارغ از نوع راهکار مورد استفاده در سازمان ها، ویژگی های اصلی که یک راهکار کارآمد TI باید داشته باشد عبارتند از:
• راهکار مورد نظر برای ییاده سازی در سازمان باید نیاز به حداقل منابع آن سازمان داشته باشد.
• راهکار موردنظر قابلیت یکپارچه سازی با ابزارها و راهکارهای دفاعی موجود در سازمان را داشته باشد.
• در راهکار مورد نظر باید عمده فرآیند های مربوطه نظیر جمع آوری اطلاعات از فیدهای مختلف، تحلیل و پایش و تفسیر و به کارگیری حتی الامکان خودکار انجام شود.
• در راهکار مورد نظر باید مکانیزم هایی برای بررسی صحت و درصد اطمینان اطلاعات تهدید وجود داشته باشد (به عنوان نمونه مکانیزم رتبه بندی یا مواردی مشابه)
مقدمه ای بر Cyber Threat Intelligence
واژه CTI به اطلاعات تهدیدات مرتبط با حوزه کامپیوتر، شبکه و فناوری اطلاعات اطلاق میشود. برای درک بهتر این مفهوم بهتر است نگاهی به تعاریف کلاسیک Intelligence داشته باشیم. Intelligence اطلاعات و دانشی راجع به یک عامل مخرب است که از طریق مشاهده، بررسی، تحلیل و درک بهدست میآید. در تعریف دیگری از Intelligence از آن به عنوان اطلاعات عملیاتی یاد شده است.
اما از تعاریف فوق، میتوان به دو نکته مهم رسید.
• نکته اول، Intelligence اطللاعات یا داده تنها نیست بلکه اطلاعاتی است که تحلیل شده است، یعنی از نتیجه یک تحلیل و بررسی به دست آمده است.
• نکته دوم، Intelligence باید عملیاتی (قابل بهکارگیری) باشد. در غیر این صورت داشتن آن مزیتی نخواهد داشت.
نکته: CTI می تواند از نوع استراتژیک یا تاکتیکی باشد. نوع استراتژیک شامل مواردی نظیر انگیزه مهاجمان سایبری است. در مقابل نوع تاکتیکی شامل مواردی نظیر رویهها، تکنیکها و تاکتیکها (TTP) و البته نشانههای تهدید یا مخاطره (IOC) است. IOC ها یکی از عملیاتیترین نوع CTI ها است که شامل مواردی نظیر آدرس IP، نام دامنه، URL و هش فایل است.
واژه CTI به اطلاعات تهدیدات مرتبط با حوزه کامپیوتر، شبکه و فناوری اطلاعات اطلاق میشود. برای درک بهتر این مفهوم بهتر است نگاهی به تعاریف کلاسیک Intelligence داشته باشیم. Intelligence اطلاعات و دانشی راجع به یک عامل مخرب است که از طریق مشاهده، بررسی، تحلیل و درک بهدست میآید. در تعریف دیگری از Intelligence از آن به عنوان اطلاعات عملیاتی یاد شده است.
اما از تعاریف فوق، میتوان به دو نکته مهم رسید.
• نکته اول، Intelligence اطللاعات یا داده تنها نیست بلکه اطلاعاتی است که تحلیل شده است، یعنی از نتیجه یک تحلیل و بررسی به دست آمده است.
• نکته دوم، Intelligence باید عملیاتی (قابل بهکارگیری) باشد. در غیر این صورت داشتن آن مزیتی نخواهد داشت.
نکته: CTI می تواند از نوع استراتژیک یا تاکتیکی باشد. نوع استراتژیک شامل مواردی نظیر انگیزه مهاجمان سایبری است. در مقابل نوع تاکتیکی شامل مواردی نظیر رویهها، تکنیکها و تاکتیکها (TTP) و البته نشانههای تهدید یا مخاطره (IOC) است. IOC ها یکی از عملیاتیترین نوع CTI ها است که شامل مواردی نظیر آدرس IP، نام دامنه، URL و هش فایل است.
استخراج اطلاعات از طریق ترافیک DNS✍
حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.
شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:
حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.
http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec
حتما در خصوص افشای اطلاعات بزرگی که در ماه اخیر برای شرکت Equifax (شرکت بررسی اعتبارات شهروندان) رخ داد مواردی شنیده اید. اتفاقی که هنوز پیامدهای آن به طور کامل مشخص نیست، اما استعفای مدیرعامل این کمپانی بزرگ را به دنبال داشته است. آنچه از بین حواشی و اتفاقات مبهم این رخداد واضح است، اطلاعاتی است که از این کمپانی افشا شده است. افشای اطلاعات یا به بیان دقیق تر استخراج اطلاعات از راه های مختلفی قابل انجام است که یکی از خطرناکترین آنها، استخراج اطلاعات در قالب ترافیک DNS است؛ این مساله از آن جهت خطرناک است که تقریبا اکثر فایروال ها و سیستم های تشخیص تهدید، اجازه عبور چنین ترافیکی را می دهند و در صورتی که مهاجم بتواند اطلاعات مورد نظر خود را در این ترافیک تعبیه کند تقریبا با مانع اساسی روبرو نخواهد شد. مطالعه ای که اخیرا بر روی رخدادهای افشای اطلاعات انجام شده است، نشان می دهد ۲۵ درصد کسب و کار های هدف بررسی در آمریکا، افشای اطلاعات از طریق DNS را تجربه کرده اند.
هکرها معمولا داده های خود را در درخواست های بازگشتی (Recursive Qery) سرویس DNS تعبیه می کنند. درخواست های بازگشتی، درخواستهایی است که بین کلاینت و سرور DNS ردوبدل می شود (نه پیام هایی که بین سرورهایDNS مبادله می شود). مهاجمان داده ها یا کدهای خود را به بخش های بسیار کوچکی تقسیم می کنند و هریک از این بخش ها را در یکی از فیلدهای بسته DNS ( به عنوان نمونه فیلد TXT ) جاسازی می کنند. اما این یکی از روش های استخراج داده از طریق DNS است.
روش معروف دیگری برای این کار وجود دارد که به روش DNS Tunneling معروف است. DNS Tunneling به معنای ارسال بسته های مختلف (مثلا FTP، HTTP و …) با پوشش بسته های DNS است؛ به عبارت دقیق تر روی داده های مورد نظر سرآیند DNS می خورد که این مساله می تواند منجر به فریفتن تجهیزات امنیتی موجود در شبکه شود. انجام فرآیند DNS Tunneling نیاز به دو برنامه یکی در سمت سرور و دیگری در سمت کلاینت دارد. معمولا این روش از روش قبلی کمی کندتر است اما با استفاده از آن حجم داده بیشتری را می توان انتقال داد.
شناسایی ترافیک مشکوک DNS
متخصصان شبکه و امنیت سازمان ها برای شناسایی بسته های مخرب DNS، در اولین گام باید پیلود بسته ها را تحلیل کنند.به بیان دقیق تر، با تحلیل هریک از درخواست ها و پاسخ های متناظر با آن، می توان فعالیت های مخرب احتمالی از طریق DNS را شناسایی کرد. با مروری بر داده های تراکنش و جستجو برای الگوهای مشخص می توان به نشانه های DNS Tunneling رسید.
ناهمگونی در تعداد درخواست ها و پاسخ ها، ناهمگونی در حجم بسته های DNS و قالب غیرعادی بسته های DNS همگی از نشانه های DNS Tunneling است. همچنین با فرآیند تحلیل ترافیک و تحلیل های آماری نظیر تعداد نام میزبان ها بر دامنه ها، مکان فیزیکی درخواست ها و … می توان دریافت که آیا نشت داده ای از این طریق رخ داده است یا خیر. کسب و کارهایی که به امنیت دارایی های اطلاعاتی خود اهمیت زیادی می دهند می توانند از سیستم هایی موسوم به DNS Filteration استفاده کنند که می تواند ترافیک DNS را به صورت آنلاین و بلادرنگ بررسی کند و میزان ریسک آن را اعلام کند.
اما در صورتی که با هر روشی افشای اطلاعات از طریق DNS رخ داد می توان دو اقدام زیر را تحت عنوان پاسخگویی به رخداد انجام داد:
حصول اطمینان از انجام صحیح فرآیندهای مانیتورینگ مداوم شبکه و تحلیل بسته های DNS
غیرفعال کردن موقتی سرویس DNS به گونه ای که میزبان های داخل سازمان نتوانند هیچ دامنه خارجی را اصلاحا Resolve کنند.
http://www.hypersec.ir/?p=173🌎
@hypersec
t.me/hypersec
👍1
5 Must-Have Features of an Effective Threat Intelligence Solution
Hi everyone
In this post, we will review the most important features of an effective threat intelligence solution. An effective TI solution identifies, collates, analyzes, and interprets threat-related data from a myriad of sources. In turn, it provides companies with access to high-quality data that they can incorporate as a cornerstone of their security program.
The evolution of a company’s security footprint depends in part on its understanding of the threats it must defend against. Threat intelligence helps bridge the gap between the effectiveness of a company’s defenses today and in the future.
Notwithstanding the benefits, in practical terms, what features should companies look for when assessing threat intelligence solutions? In this white paper, we help simplify the buying process by providing your organization with five must-have features of an effective threat intelligence solution.
Feature 1: Your threat intelligence solution should require minimal company resources to adopt and maintain.
Feature 2: Your threat intelligence solution must seamlessly integrate with your existing security infrastructure.
Feature 3: Your threat intelligence solution must automate the majority of the processes associated with the receipt, analysis, and application of threat intelligence.
Feature 4: Your threat intelligence solution must incorporate “best of breed” threat intelligence source data and supply mechanisms to validate that data’s accuracy.
Feature 5: Your threat intelligence solution must facilitate the detection of lateral spread as well as suspicious activity at the perimeter.
The features detailed above provide companies with critical criteria that can help ensure that they adopt a solution that meets their varied security-related needs, without stretching the resources of an organization’s already limited security department to the breaking point.
Hi everyone
In this post, we will review the most important features of an effective threat intelligence solution. An effective TI solution identifies, collates, analyzes, and interprets threat-related data from a myriad of sources. In turn, it provides companies with access to high-quality data that they can incorporate as a cornerstone of their security program.
The evolution of a company’s security footprint depends in part on its understanding of the threats it must defend against. Threat intelligence helps bridge the gap between the effectiveness of a company’s defenses today and in the future.
Notwithstanding the benefits, in practical terms, what features should companies look for when assessing threat intelligence solutions? In this white paper, we help simplify the buying process by providing your organization with five must-have features of an effective threat intelligence solution.
Feature 1: Your threat intelligence solution should require minimal company resources to adopt and maintain.
Feature 2: Your threat intelligence solution must seamlessly integrate with your existing security infrastructure.
Feature 3: Your threat intelligence solution must automate the majority of the processes associated with the receipt, analysis, and application of threat intelligence.
Feature 4: Your threat intelligence solution must incorporate “best of breed” threat intelligence source data and supply mechanisms to validate that data’s accuracy.
Feature 5: Your threat intelligence solution must facilitate the detection of lateral spread as well as suspicious activity at the perimeter.
The features detailed above provide companies with critical criteria that can help ensure that they adopt a solution that meets their varied security-related needs, without stretching the resources of an organization’s already limited security department to the breaking point.
Threat Hunting: Possible Indicators in Endpoint Logs
Hi hunters.
Today, I'm going to focus on one of the most valuable data sources, Endpoint logs. Endpoint Logs may consist of many data sources including, but not limited to, Anti Virus Logs, Windows Logs, HIDS Logs.
But what should hunters look for in Endpoint Logs? In a sense, what threats can we find in Endpoint logs?
You, as a threat hunter, may look for the following indicators in the logs:
Suspicious New Process Creation
Suspicious Registry Modifications
Suspicious Access an Object
Identify potential 0-day exploits
Attacks on Windows Applications
Suspicious Schedule Task Usage
Suspicious Services Usage
Suspicious Account Usage
Suspicious Network Share
Suspicious Group Policy Change
Supicious Windows Firewall Changes
Remote File Copy
SSH Hijacking
These indicators are only as a sample of many other possible ones.
Hi hunters.
Today, I'm going to focus on one of the most valuable data sources, Endpoint logs. Endpoint Logs may consist of many data sources including, but not limited to, Anti Virus Logs, Windows Logs, HIDS Logs.
But what should hunters look for in Endpoint Logs? In a sense, what threats can we find in Endpoint logs?
You, as a threat hunter, may look for the following indicators in the logs:
Suspicious New Process Creation
Suspicious Registry Modifications
Suspicious Access an Object
Identify potential 0-day exploits
Attacks on Windows Applications
Suspicious Schedule Task Usage
Suspicious Services Usage
Suspicious Account Usage
Suspicious Network Share
Suspicious Group Policy Change
Supicious Windows Firewall Changes
Remote File Copy
SSH Hijacking
These indicators are only as a sample of many other possible ones.
۵ عنصر اصلی در برنامه هوشمندی امنیت که برای شکار تهدید لازم دارید✍
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
می شود و به عنوان مبنایی برای تغییرات در نظر گرفته می شود. با تغییر یا دستکاری در سیستم، سیستم از حالت خط مبنا خارج و به وضعیت دیگر می رود. این عنصر یکی از موارد مهم در عملیات تیم شکار تهدید و شناسایی رفتار کاربران سیستم است و در صورتی موفق خواهد بود که مراحل قبلی به خوبی پیاده سازی شده باشد.
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
۵ عنصر اصلی در برنامه هوشمندی امنیت که برای شکار تهدید لازم دارید✍
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
هوشمندی اطلاعات تهدید یا هوش تهدیدات سایبری واژه است که این روزها زیاد بر سر زبان ها افتاده است. اغلب افراد همیشه علاقه دارند به دنبال کشف چیزهای عجیب غریب و جدید بروند قبل از اینکه نسبت به خودشون رو به شناخت و درک مناسبی برسند. احتمالا این جمله را قبلا شنیده اید که گفته میشه knowledge is power یا به تعبیر فارسی: دانستن توانستن است!. اما به اعتقاد من این دانستن ا درباره چیزهای جدید و فناوری های عجیب و غریب جدید گافی نیست. ما برای توانمند یا قدرتمند شدن، قبل از هر چیز نیازمند شناخت خودمون هستیم. پس فرمول توانستن از منظر من اینجوری شناخت خود + شناخت حوزه هدف=توانستن. حالا بریم سراغ حوزه امنیت و بحث داغ خودمون.
هوش اطلاعاتی سایبری و شکار تهدید
سان تزو نویسنده کتاب هنر جنگ یه جمله معروف داره:« اگر خودتان رو بشناسید و دشمنتان را بشناسید، از هیچ جنگی نمی هراسید. اگر خودتان را بشناسید و از دشمن شناختی نداشته باشید به ازای هر پیروزی که به دست میاورید، شکستی سنگین متحمل می شوید و اگر خودتان و دشمنتان را نمی شناسید در هر نبردی شکست می خورید».
در هوش اطلاعاتی سایبری، اطلاعات بدست آمده از منابع مختلف جمع آوری پردازش شده و اقدامات متناسب برای مقابله تا تهدیدات سایبری صورت می گیرد. هوش اطلاعات سایبری هسته اصلی دفاع و پاسخگویی مناسب در فضای سایبر می باشد. از طرفی، شکار تهدید جز حیاتی و پیش کنشانه در یک برنامه هوش اطلاعاتی سایبری به شمار می آید. شکار تهدید بیشتر از شناخت قلمرو تهدید، متکی به شناخت قلمرو سازمان است. بنابراین برای داشتن برنامه شکار تهدید مناسب نیاز به جمع آوری اطلاعات پیرامون دارایی ها، شبکه ها و داده سازمان است. جمع آوری اطلاعات بسته به اندازه و مقیاس سازمان متفاوت خواهد بود. در ادامه عناصر اصلی و حوزه های مختلف جمع آوری اطلاعات برای یک سازمان مقیاس متوسط تا بزرگ را مورد بررسی قرار می دهیم.
مدیریت دارایی – Asset Management: این حوزه اولین حوزه مورد توجه برای جمع آوری اطلاعات است. موسسه sans مدیریت دارایی را به عنوان اولین مورد در ۲۰ کنترل مهم امنیتی خود قرار داده است. مدیریت دارایی سازمان معمولا در حوزه مسئولیت بخش عملیات فناوری اطلاعات(IT Ops) سازمان قرار دارد. اما در واقع حوزه ای که باید جزئی فراتر از عملیات فناوری اطلاعات در نظر گرفته شده و بخشی از فرهنگ سازمان باشد. مسئول بخش هوشمندی اطلاعات/شکار تهدید سازمان باید ارتباط خوبی با بخش عملیات فناوری داشته باشد و افراد را از طریق ارائه خلاصه تهدیدات نسبت به ارزش و اهمیت خروجی بخش عملیات در کمک به مقابله با تهدیدات سازمان آگاه سازد. اهمیت این مورد به قدری است که می توان گفت تطابق و بهره برداری از مدل های شکار تهدید بدون پوشش این عنصر مهم امکان پذیر نیست.
سطح حمله – Attack Surface: یکی از وظایف سخت و پرزحمت شناسایی و ترسیم کامل سطوح حمله سازمان است. متناسب با اندازه سازمان شما باید یک برنامه مدون سالانه(حداقل یک بار در سال) برای شناسایی و ترسیم سطوح حمله داشته باشید. سپس باید نسبت به پایش سطوح حمله اقدام کنید. در اینجا دو روش رایج برای پایش و نظارت سطوح حمله را بیان می کنیم
برداری های حمله: بردارهای حمله در امنیت سایبری همان شیوه ها و نقاطی هستند که با درون سازمان شما ارتباط برقرار می شود:
ایمیل
وب
موبایل
مهندسی اجتماعی
زنجیره تامین/شخص ثالث
حوزه ها/دامنه ها: شیوه دیگر نظارت سطوح حمله، دسته بندی در قالب دامنه های سایبری سازمان است. می توان به سطوح حمله را از منظر حوزه های زیر مورد توجه قرار داد:
شبکه(Network)
نقطه پایانی(endpoint)
ابرپردازش(cloud)
توسعه محصول/برنامه کاربردی(DevOps/App)
موبایل(Mobile)
اینترنت اشیاء(IoT)
رویداد نگاری – Logging : پس از شناخت اینکه چه دارایی در چه مکانی از سازمان قرار دارد، و نگاشت سطوح حمله برای دارایی های اولویت دار، شما نیازمند رویداد نگاری هستید تا بدانید در ماشین ها و سامانه های شما چه اتفاقی در حال رخ دادن است. در سازمان های بزرگ برای رویدادنگاری مناسب به یک سیاست اجرایی برای اعمال رویداد نگاری بر روی سطوح تهدید و تجمیع آن ها در یک نقطه متمرکز نیاز است. سند موسسه SANS در این باره به شما کمک می کند.
مدیریت هویت و دسترسی(Identity & Access Management): مدیریت دسترسی و هویت کاربران که به سامانه ها و تجهیزات ورود/خروجی می کنند از جمله مواردی است که سازمان ها برای آن خط مشی مشخصی تعیین نمی کنند. این اطلاعات یکی از منابع مهم برای جمع آوری شواهد پیرامون تهدیدات و رخدادهای سایبری سازمان شما هستند.
ایجاد خط مبنا از سیستم – Baselining : خط مبنا عبارتی در حوزه مدیریت پیکربندی است. در خط مبنا سازی سیستم، از وضعیت و مشخصه هاس سیستم در یک نقطه زمانی مشخص اطلاعات جمع آوری
می شود و به عنوان مبنایی برای تغییرات در نظر گرفته می شود. با تغییر یا دستکاری در سیستم، سیستم از حالت خط مبنا خارج و به وضعیت دیگر می رود. این عنصر یکی از موارد مهم در عملیات تیم شکار تهدید و شناسایی رفتار کاربران سیستم است و در صورتی موفق خواهد بود که مراحل قبلی به خوبی پیاده سازی شده باشد.
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
حتما تا کنون متوجه شده اید که مسیر هوشمندی اطلاعات تهدید نه تنها مسیر آسانی نیست، بلکه طولانی و حتی خسته کننده است. بعد از انجام همه این مراحل و جمع آوری اطلاعات متنوع تازه آماده آغاز به کار شکار تهدیدات در حوزه های مورد نیاز می شوید.
http://www.hypersec.ir/?p=532🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
مقدمه ای بر بستر تحلیل داده اسپلانک✍
اسپلانک یک پلتفرم[۱] نرمافزاری بسیار قدرتمند برای جستجو، تحلیل و بصری سازی[۲] در دادهها و مانیتورینگ آنها است. منظور از داده، دادههای تولید شده توسط تجهیزات شبکه، میزبانها، برنامههای کاربردی و … است که کسب و کار و زیرساخت IT سازمان را تشکیل می دهند.
این دادهها می توانند لاگ، ترافیک شبکه، هشدارهای آنتی ویروس و تجهیزات و مواردی از این دست باشند.
محصول اسپلانک توسط شرکتی چندملیتی با همین نام (اسپلانک) واقع در سانفرانسیسکوی آمریکا تولید و توسعه داده شده است.Splunk Enterprise و Splunk Enterprise Security دو محصول شناخته شده و فوق العاده قدرتمند شرکت اسپلانک است.
– محصول Splunk Enterprise
کاربران می توانند این محصول را به صورت رایگان دانلود و نصب کنند. پس از نصب این محصول، یک رابط کاربری وب (مطابق شکل ۱) روی پورت ۸۰۰۰ (پیش فرض و قابل تغییر) در اختیار کاربر قرار میگیرد.
این محصول علاوه بر لایسنس رایگان، لایسنسهای تجاری مختلفی (بسته به قابلیت و حجم داده ورودی) دارد. لایسنس رایگانSplunk Enterprise محدودیت های زیر را دارد.
تک کاربره
قابلیت افزودن دادهها تا سقف ۵۰۰ مگابایت در هر روز
کاربرانی که تمایل دارند از ویژگیهای بیشتر اسپلانک استفاده کنند میتوانند لایسنس تجاری محصول را خریداری کنند. لایسنس این محصول بسته به مقدار دادهای که وارد اسپلانک میشود از ۲۲۵ دلار شروع میشود.
لازم به ذکر است بسیاری از تحلیلها و جستجوهای مورد نیاز کاربران و سازمانها از طریق لایسنس رایگان محصول قابل انجام است.
– محصول Splunk Enterprise Security
این محصول، در حقیقت یک راهکار SIEM است که توسط این شرکت عرضه شده است. محصول مذکور رایگان نیست و برای استفاده از قابلیتهای قدرتمند آن باید لایسنس آن را خریداری کرد. برخی از مهمترین قابلیتهای این محصول عبارتند از:
همبستهسازی[۵] قدرتمند وقایع
نظارت بلادرنگ
قابلیت تولید هشدار در ازای شرایط تعریف شده و رخدادها
اولویتبندی و پاسخگویی به رخدادها
قابلیت استفاده از Threat Intelligence به صورت کاملا عملیاتی
[۱] Platform
[۲] Visualize
[۳] Alert
[۴] Monitoring
[۵] Correlation
http://www.hypersec.ir/?p=423🌎
@hypersec
t.me/hypersec
اسپلانک یک پلتفرم[۱] نرمافزاری بسیار قدرتمند برای جستجو، تحلیل و بصری سازی[۲] در دادهها و مانیتورینگ آنها است. منظور از داده، دادههای تولید شده توسط تجهیزات شبکه، میزبانها، برنامههای کاربردی و … است که کسب و کار و زیرساخت IT سازمان را تشکیل می دهند.
این دادهها می توانند لاگ، ترافیک شبکه، هشدارهای آنتی ویروس و تجهیزات و مواردی از این دست باشند.
محصول اسپلانک توسط شرکتی چندملیتی با همین نام (اسپلانک) واقع در سانفرانسیسکوی آمریکا تولید و توسعه داده شده است.Splunk Enterprise و Splunk Enterprise Security دو محصول شناخته شده و فوق العاده قدرتمند شرکت اسپلانک است.
– محصول Splunk Enterprise
کاربران می توانند این محصول را به صورت رایگان دانلود و نصب کنند. پس از نصب این محصول، یک رابط کاربری وب (مطابق شکل ۱) روی پورت ۸۰۰۰ (پیش فرض و قابل تغییر) در اختیار کاربر قرار میگیرد.
این محصول علاوه بر لایسنس رایگان، لایسنسهای تجاری مختلفی (بسته به قابلیت و حجم داده ورودی) دارد. لایسنس رایگانSplunk Enterprise محدودیت های زیر را دارد.
تک کاربره
قابلیت افزودن دادهها تا سقف ۵۰۰ مگابایت در هر روز
کاربرانی که تمایل دارند از ویژگیهای بیشتر اسپلانک استفاده کنند میتوانند لایسنس تجاری محصول را خریداری کنند. لایسنس این محصول بسته به مقدار دادهای که وارد اسپلانک میشود از ۲۲۵ دلار شروع میشود.
لازم به ذکر است بسیاری از تحلیلها و جستجوهای مورد نیاز کاربران و سازمانها از طریق لایسنس رایگان محصول قابل انجام است.
– محصول Splunk Enterprise Security
این محصول، در حقیقت یک راهکار SIEM است که توسط این شرکت عرضه شده است. محصول مذکور رایگان نیست و برای استفاده از قابلیتهای قدرتمند آن باید لایسنس آن را خریداری کرد. برخی از مهمترین قابلیتهای این محصول عبارتند از:
همبستهسازی[۵] قدرتمند وقایع
نظارت بلادرنگ
قابلیت تولید هشدار در ازای شرایط تعریف شده و رخدادها
اولویتبندی و پاسخگویی به رخدادها
قابلیت استفاده از Threat Intelligence به صورت کاملا عملیاتی
[۱] Platform
[۲] Visualize
[۳] Alert
[۴] Monitoring
[۵] Correlation
http://www.hypersec.ir/?p=423🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01